以太坊黑客简史:从 The DAO 到 DeFi 货币乐高


DeFi 是一项需要全面自治的旅程,既危险,又遍布着财富机会。


这是荒野西部时代——黑客和漏洞无时无刻不在。

对于参与者来说,了解 以太坊 的漏洞攻击历史很重要。从 The DAO 到 Parity 黑客事件,这些协议级别的事件影响了以太坊合约的安全性。随着构建更多应用程序,攻击事件的数量也随之增加。

在 DeFi 中尤其如此。

在 DeFi 中,我们不必把金钱的信任交给别人,但是我们必须信任代码。

我们必须相信,代码的设计没有缺陷——包括错误,经济风险,预言机操纵,甚至中心化风险。但这很难。我们都是人,我们会犯错误。

这是我们的救赎恩典:代码在外显露的时间越长,锁定的价值越多,代码就越强大。我们称其为林迪效应。多一天没有出现事故,我们就距离无信任金融的愿景就更进一步。

休·卡普(Hugh Karp)是深入研究黑客和漏洞的人。 (但他自己竟然都被黑客黑了!)

以太坊的早期开发经历启发 Karp 建立了 Nexus Mutual,这是一种去中心化的保险替代方案。

本文作者便是 Hugh Karp。



DeFi 黑客攻击简史

以太坊上最早出现编码错误的重要案例之一是 The DAO。 The DAO 项目遭受攻击,之后社区又在如何「修复」问题上存在分歧,以至于导致以太坊分叉并产生了以太坊经典(ETC)。

再往后的重大漏洞事件是以太坊 Parity 客户端 bug。在该 bug 中,广泛使用的多重签名遭受了两次单独的漏洞事件,这些事件导致当时价值数百万美元的 ETH 丢失,以及从哲学的角度来看进一步的后果。

这些 bug 加在一起是以太坊历史上的第一批重大安全事件。 现在,我们将它们视作包含逻辑错误的代码,它们根本无法按预期运行。

这两个事件也是 Nexus Mutual 的首款产品 Smart Contract Cover 的主要灵感来源。


预言机时代

DeFi 黑客攻击的第二次主要浪潮是由链上预言机操纵造成的,通常是由闪电贷导致。

这类攻击执行起来非常复杂,但其模式类似,即依赖价格喂价的系统会临时操纵喂价以扭曲协议的内部核算。 然后将资金以优惠的利率进行存入,然后在将预言机重置为正常值后立即以另一种货币或同一种货币提走。

尽管在大多数情况下还可能触发了潜在的逻辑错误,但情况并非总是如此。 随后进行了社区讨论:这些事件属于黑客攻击,还是协议经济逻辑被利用?

但是,总的来说,如果要使 DeFi 取得更大的成功,就需要避免这些类型的问题。

Harvest Finance:一名熟练的农民使用闪电贷从 FARM_USDT 和 FARM_USDC 池中获取了 3380 万美元

Value DeFi:损失 7,000,000。 这是由闪电贷引发的另一个严酷的教训。

Cheese Bank:被黑客通过闪电贷 AMM 预言机攻击拿走了 330 万美元

Origin Protocol:通过闪电贷和假币重新进入获得 800 万美元。


货币乐高时代

在过去的几年中,越来越多的 DeFi 协议已经发布,并继续相互依赖。 这是开放金融和可组合性的美妙之处——我们可以使用现有协议来构建新的应用程序。 缺点是,这自然会开始扩大攻击面。

借助 DeFi 的一项强大优势,协议之间越来越多地相互构建,但这也成倍地增加了风险。

第三波攻击潮趋向于集中在收益聚合器上,这些聚合器通常建立在许多其他 DeFi 协议之上。

这些协议往往比基本协议具有更高的风险,这仅仅是因为它们的攻击面更大。 作为开发人员,可以很容易地就另一个协议的工作原理做出假设,但是有时在集成边缘的细微差别可能会引起问题。


中心化风险

这段简短而有趣的历史集中在编码风险上,假设 DeFi 完全去中心化,那么编码风险将涵盖绝大部分风险。但事实并非如此。许多协议距离去中心化仍然有一段距离,因为 DeFi 中的许多风险不仅来自智能合约错误,还来自中心化方面。

所有 DeFi 中最广泛的风险可能与稳定币故障有关。这可能包括 USDT 失去挂钩汇率或 USDC 被政府没收资金。 MakerDAO 的 DAI 挂钩失败也会导致重大问题,但更可能是由于经济激励失败或风险管理监督造成的。

如果您参加 DeFi,那么任何主要稳定币的普遍失败都将是灾难性的。这可能是整个行业面临的主要风险,尤其是在它仍处于起步阶段时。

回到 DeFi 协议,与大多数较新的协议进行交互时,往往存在高度中心化的风险,因为团队通常有可能升级合约,或者在最坏的情况下「跑路」并窃取协议流动性。因此请注意这一点!在存入资金之前,请尝试了解是否存在任何内置的时间延迟或其他保护措施。

某些主要的 DeFi 协议中仍然存在较低级别的中心化风险。 治理攻击始终存在潜在的可能,恶意团体可以对系统进行升级。 我们还没有看到很多这样的案例,但这是完全有可能的。

代币持有者越多样化和广泛,就越好。


经济激励风险

另一个需要警惕的主要类别是经济激励失败。 几种 DeFi 协议正在测试新的经济游戏,以取得一定的成果,这通常需要平衡激励措施,以鼓励正确的用户行为。

这些激励性游戏中许多都未经证明具有比其他风险更高的风险,我正在观察算法稳定币。 因此,用户请注意该协议在多大程度上依赖经济激励措施才能正常工作。


DeFi 是一个机会

尽管这听起来似乎很可怕,但 DeFi 对于愿意承担更高风险的人来说,是有丰厚回报的。 DeFi 中的风险与回报比非常庞大,但市场效率仍然非常低下。

好处是,低效率对应于那些愿意进一步冒险的人的机会。

DeFi 的一大吸引力是能够通过稳定币或现有的加密货币持有者如 BTC 或 ETH 赚取收益。

在这种用例中,风险范围较低,我称之为风险来自于基础协议本身:Uniswap,Compound,Aave,MakerDAO 和 Balancer。

这些协议在去中心化程度方面比其他协议要高的多,因此风险往往更局限于智能合约风险,经济激励失败和潜在的治理攻击。这些协议已经在主网上使用了相当长的一段时间,并拥有数十亿美元的价值,这意味着它们已经在合理的程度上经过了实战测试,表明它们可以相对免受大多数此类风险的威胁,而潜在的治理攻击尚待充分测试。

如果您想从银行帐户中的几乎 0%的收益转移到更高的水平(例如 4-10%的范围),这可能是最好的起点。

如果您想保护自己在 DeFi 中的钱,那么 Nexus Mutual 还可提供针对智能合约风险的保障。 更好的是,从 4 月 26 日开始,Nexus Mutual 将扩展到一个名为「Protocol Cover」的新产品,该产品覆盖了智能合约风险,预言机操纵,经济激励失败以及治理攻击。 这是在 DeFi 中开始获得收益的最安全方法之一。

有很多东西可以学习,在 DeFi 风险管理方面你可以写一整本书。

关键在于从您可以承受的损失金额开始,并随着时间的推移逐步学习。 避免风险过高,请确保在您想分配更大仓位时进行管理,以应对任何一种方案或风险。

DeFi 是一项需要全面自治的旅程,既危险,又可能非常高收益。 妥善管理您的风险将使您游刃有余。


原文标题:《DeFi 之道丨 DeFi 黑客简史:到处是风险,却不乏财富机会》
撰文:Hugh Karp,Nexus Mutual 创始人
编译:Kyle

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

留言与评论(共有 0 条评论)
   
验证码:
微信号已复制,请打开微信添加咨询详情!